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(54) Title: SMART INTEGRATED CIRCUIT 
(54) Titre: CIRCUIT INTEGRE INTELLIGENT 
(57) Abstract 

The invention concerns a smart integrated circuit characterised in 
that it has a main processor (1) and an operating system executing a 
main programme (PI) to set up a main process performing tasks, at 
least a secondary processor (2) capable of executing simultaneously at 
least a secondary programme (P2) to constitute a task-performing process, 
power circuits (6) common to the processors and means ensuring that the 
secondary processes) with similar energy and different operating signature, 
are carried out simultaneously with the main process by inducing in the 
power circuits, continuously or intermittently, energy disturbances which 
are superposed on those of the main process to produce continuous or 
intermittent data encryption. 

(57) Abrege* 

La presente invention conceme un circuit int6gr6 intelligent. Ce 
circuit int£gre* intelligent est caracterise' en ce qu'il possede un processeur 
principal (1) et un systeme d'exploitation executant un programme 
principal (PI) pour constituer un processus principal realisant des taches, 
au moins un processeur secondaire (2) capable d'executer concurremment 
au moins un programme secondaire (P2) pour constituer au moins un 
processus realisant des taches, des circuits d'alimentation (6) communs 
entre les processeurs et des moyens permettant de s'assurer que le 
ou les processus secondaires d'energie similaire et de signature de 
fonctionnement differente, s'effecruent concurremment avec le processus 
principal en induisant dans les circuits d'alimentation, de facon continue 
ou intermittente, des perturbations 6nerg6tiques qui se superposent a celle 
du processus principal pour realiser un brouillage continu ou intermittent. 
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"CIRCUIT INTEGRE INTELLIGENT" 

II est connu que les microprocesseurs ou les microcalculateurs ou des 
5 circuits integres intelligents executent sequentiellement des instructions d'.un 
programme enregistr6 dans une memoire, en synchronisme avec un ou 
plusieurs signaux de cadencement references par rapport a des signaux 
d'horloge fournis au microprocesseur ou au microcalculateur ou au circuit 
integre soit en interne soit en externe. Par circuit integre intelligent, on 
10 comprend un circuit integre comportant des circuits specifiques et limites a 
Pexecution d'un nombre restreint destructions ou de fonctionnalites pour 
lesquels its ont 6te specifiquement developp6s. 

II s'est avere possible de tracer les differentes phases de cette 
execution de programme en fonction du temps puisque ^execution des 

15 instructions s'effectue sequentiellement suivant un processus predetermine par 
ce programme, en general en synchronisme avec les signaux d'horloge qui 
cadencent regulidrement le processeur. En effet, tout programme se traduit par 
une suite destructions qui doivent etre executees successivement dans un 
ordre connu a Pavance, les instants de d6but et de fin de chaque instruction 

20 etant parfaitement connus car elie s'execute suivant un processus 
predetermine qui, pour des moyens d'analyse sophistiques, possede ce que 
Ton peut appeler une " signature " reconnaissable. II est connu que cette 
signature du processus peut, par exemple, etre obtenue a partir des signaux de 
mesure des energies consommees par les differents circuits electriques qui 

25 sont mis en oeuvre par Pinstruction ou (a sequence destructions ex6cutee. II 
est done en principe possible de connaTtre la nature de la sequence 
destructions qui s'execute a un moment donn6 dans Tunite de traitement du 
processeur puisque le programme qui se deroule est constitu§ de cette suite 
predeterminee d'instructions dont la signature est connue. 

30 On peut arriver par de tels moyens a determiner quelle est Hnstruction 
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particuliere qui s'execute ainsi que les donnees utilisees par cette "instruction. 

Cette possibility de pouvoir observer les details de deroulement d'un 
programme dans un microprocesseur ou un microcalculateur est un 
inconvenient majeur lorsque ce microprocesseur ou microcalculateur est utilise 
5 dans des applications de haute securite. En effet, un individu mal intentionne 
pourrait ainsi connattre les etats successifs dans lesquels se trouve le 
processeur et tirer parti de ces informations pour connaitre certains resultats 
sensibles de traitement interne. 

On peut imaginer, par exemple, qu'une action donnee puisse se 
10 produire a des instants differents en fonction du resultat d'une operation 
securitaire determinee, tel que le test d'une information confidentielle interne ou 
le dechiffrement d'un message, ou encore le controle d'integrite de certaines 
informations. Selon I'instant considere, on pourrait, par exemple agir sur le 
processeur, ou obtenir la valeur de certains registres par investigation 
15 physique, afin d'obtenir des renseignements sur le resultat ou sur le contenu 
confidentiel de {'information, et ceci meme dans le cas de calculs 
cryptographiques sur la cle secrete de chiffrement utilisee. 

II est connu des dispositifs qui apportent un premier perfectionnent aux 
microcalculateurs securises en les dotant de circuits qui generent des 
20 impulsions d'horloge aleatoires. De cette maniere, les investigations rendent 
particulierement difficile Tobservation des evenements, puisque leur 
synchronisation devient vite impraticable et la survenance d f un evenement 
devient difficilement previsible. 

Cependant, ce type de solution pr6sente de nombreux inconvenients. 

25 Tout d'abord, la conception de tels circuits est particulierement delicate 

et fastidieuse car il n'est pas possible de simuier un fonctionnement al6atoire 
dans la totalite d'un circuit aussi complexe qu'un microcalculateur et encore 
plus difficile de tester ces circuits en fin de fabrication dans leur comportement 
brouille. Une suite aleatoire d'impulsions d'horloge est, en effet, tres difficile a 
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simuler pour la rnise au point des circuits, mais il est encore plus difficile de 
maitriser tous les comportements de I'ensemble des circuits logiques du 
processeur, notamment pendant les periodes de commutation des signaux sur 
les bus internes et dans les registres. 

5 II est aussi connu un autre dispositif qui introduit une nouvelle 

architecture basee sur Putilisation d'une memoire trompe-Poeil utilis^e ou non 
par le microprocesseur de facon totalement desynchronisee par rapport au 
milieu exterieur. De cette maniere, I'observation des evenements et des 
signatures est rendue particulierement difficile. 

io Cependant, Putilisation d'une horloge aleatoire ou d'une memoire 

trompe-Poeil, meme si elles apportent des perfectionnements interessants, ne 
modifie pas le comportement de base du microprocesseur qui est toujours 
sequentiel, meme si les instructions qui se succedent font partie de processus 
differents. II reste done theoriquement possible de " filtrer " les mauvaises 

15 instructions pour ne conserver que les bonnes et ainsi tirer parti des 
informations emanant du microprocesseur. 

Un autre inconvenient reside dans le fait que Pon doit sauvegarder les 
contextes d'execution des programmes interrompus par des sequences 
trompe-Poeil et les retablir, ce qui necessite pour cette sauvegarde des 
20 ressources memoires non negligeables. 

C'est un des buts de Pinvention que de doter le circuit integre intelligent 
de moyens interdisant le type d'investigation decrit plus haut, et plus 
generalement d'empecher toute interpretation des signaux provenant du 
processeur ou de Punite de traitement principale. Ce type de circuit est appele 
25 "MUMIC" (Multi Untraceable Microcomputer). 

Ce but est atteint par le fait que le circuit integre intelligent possede un 
processeur principal et un systeme d'exploitation executant un programme 
principal pour constituer un processus principal realisant des taches, au moins 
un processeur secondaire capable d'executer concurremmment au moins un 
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programme secondaire pour constituer au moins un processus realisant des 
taches, des circuits d'aiimentation communs entre ies processeurs et des 
moyens permettant de s'assurer que le ou Ies processus secondaires d'energie 
similaire et de signature de fonctionnement differente, s'effectuent 
5 concurremment avec le processus principal en induisant dans Ies circuits 
d'aiimentation, de facon continue ou intermittente, des perturbations 
energetiques qui se superposent a celles du processus principal pour realiser 
un brouillage continu ou intermittent. 

Selon une autre particularite, Ies processeurs principaux ou 
10 secondaires sont chacun un microprocesseur ou microcalculateur securise. 

Selon une autre particularite, Tactivation de ces moyens est declenchee 
par le systeme d'exploitation du processeur principal (1) du circuit integre 
intelligent, de telle sorte que la securite supplemental creee par Ies moyens 
ci-dessus ne depend que d'une decision resultant de I'execution par le 
15 processeur principal du systeme d'exploitation situe dans un endroit du circuit 
integre inaccessible de I'exterieur. 

Selon une autre particularite, le circuit integre intelligent possede une 
memoire principale, dediee au processeur principal, contenant le systeme 
d'exploitation dans au moins une partie de celle-ci inaccessible de I'exterieur et 
20 accessible par au moins un des deux processeurs et une memoire secondaire 
respectivement dediee au processeur secondaire. 

Selon une autre particularite, le circuit integre intelligent possede au 
moins un busde communication entre Ies processeurs, leurs memoires 
respectives et un circuit d'entree sortie. 

25 Selon une autre particularite, le circuit integre intelligent est realise a 

I'aide de circuits logiques disperses sur le ou Ies substrats de facon que 
I'implantation physique des deux processeurs soit realisee sans blocs 
fonctionneis facilement reperables, par exempie par imbrication physique mais 
avec tine organisation logique separee. 
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Selon une autre particularite, le processeur secondare execute des 
taches du processus secondaire qui minimisent ou annulent les signatures de 
fonctionnement du processeur principal. 

Selon une autre particularite, le processeur secondaire execute des 
5 taches du processus secondaire correlees a celles du processus principal 
execute par le processeur principal de fagon telle que les resultats 
intermediaires de traitement n'apparaissent jamais au cours du processus. 

Selon une autre particularite, le programme secondaire utilise un 
espace de travail plus petit que celui du programme principal. 

io Un second but de I'invention est de faire en sorte que le processus 

principal ne puisse fonctionner que si le processus secondaire est operationnel. 

Ce second but est atteint par le fait que le circuit integre intelligent 
possede des moyens de communication entre le processeur principal et le 
processeur secondaire. 

15 Selon une autre particularite, les moyens de communication entre les 

deux processeurs permettent au processeur principal de savoir si le processeur 
secondaire est op6rationnel ou non. 

Selon une autre particularite, les moyens de communication entre les 
deux processeurs permettent au processeur principal de realiser une 
20 authentification du processeur secondaire. 

Selon une autre particularite, le test d'authentification ou de 
fonctionnement du processeur secondaire est realise en cours de traitement 
par le processeur principal. 

Selon une autre particularite, le moyen d'activation du processeur 
25 secondaire est commande soit par le processeur principal et son programme 
principal, soit par un systeme d'interruption, soit par un compteur de temps, soit 
encore par une combinaison des trois 
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Un troisieme but de Pinvention est de faire en sorte que le processus 
secondaire mette en oeuvre un programme qui est totalement different du 
programme principal. 

Ce troisieme but est atteint par ie fait que le processeur secondaire 
5 execute des taches du processus secondaire sans correlation avec celles du 
processus principal executees par le processeur principal. 

Selon une autre particuiarite, le processeur secondaire execute des 
taches du processus secondaire qui minimisent ou annulent les signatures de 
fonctionnement du processeur principal. 

10 Un quatrieme but de Pinvention est que le programme secondaire utilise 

un programme dont la signature induit des effets opposes a ceux emanant du 
processeur principal. 

Ce quatrieme but est atteint par le fait que le programme secondaire 
met en oeuvre un processus correle au processus principal, de telle fa9on que 
15 la combinaison des deux processus fournisse une signature de fonctionnement 
du processeur secondaire qui dissimule celle du processeur principal. 

Selon une autre particuiarite, le processeur secondaire execute des 
taches correlees a celles du processeur principal de fa$on telle que les 
resultats intermediates de traitement n'apparaissent jamais au cours du 
20 processus. 

Un cinquieme but de Pinvention est de realiser une architecture 
originaie en utiiisant des circuits valides, sans avoir besoin de cr6er une 
nouvelle technologie de semi-conducteurs ou de nouveaux procedes de 
fabrication. 

25 Ce cinquieme but est atteint par le fait que le processeur secondaire 

geut se substituer au processeur principal et reciproquement 

Selon une autre particuiarite, le processeur secondaire execute des 
taches correlees a celles du processeur principal par synchronisation des 
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processus et comparaison de vaieurs de deux donnees provenant chacune du 
processeur respectif executant son programme respectif. 

Selon une autre particularite, ie processeur secondaire execute des 
taches correlees a celles du processeur principal par deduction logique du 
5 programme secondaire a partir du programme principal. 

Selon une autre particularite, le circuit integre intelligent comporte au 
moins deux processeurs et chacun des processeurspossede un bus respectif 
auxquels sont reliees les memoires vives, mortes pour chaque processeur et 
non volatile pour le processeur principal. 

10 Selon une autre particularite, le circuit integre intelligent comporte une 

pluralite de processeurs dont chacun est relie a un seul et meme bus de 
communication multiplexer entre les processeurs et un ensemble de m6moire 
vive, morte et non volatile relie a ce bus, les conflits d'acces a ce bus commun 
etant g6res par un circuit d'arbitrage. 

15 Selon une autre particularite, le processeur secondaire execute 

successivement et dans n'importe quel ordre, soit des programmes corretes, 
soit des programmes sans correlation avec ceux executes par le processeur 
principal. 

D'autres particularites et avantages de I'invention apparaTtront plus 
20 clairement a la lumiere de la description qui va suivre, faite en reference aux 
dessins annexes dans lesquels : 

- la figure 1 represente un schema logique d'un mode de realisation du 
circuit integre de Tinvention a deux processeurs avec chacun leur bus ; 

- la figure 2a represente un exemple de realisation d'un circuit de 
25 communication entre deux processeurs du circuit ; 

- la figure 2b represente la structure d'une trame utilisee dans la 
communication entre les deux processeurs du circuit ; 



BNSDOCID: <WO 0039660A1_L> 



WO 00/39660 0 PCT/FR99/03275 



- la figure 3 represents un schema d'un mode de realisation du circuit 
integre de I'invention a deux processeurs avec un seu! bus ; 

- la figure 4 represente un schema d'un mode de realisation d'une 
protection par synchronisation et comparaison de deux valeurs de donnees 

5 provenant de chaque processeur ; 

- ia figure 5 represente un exemple de realisation d'une memoire 
double ports accessible sur chaque port par un processeur du circuit ; 

- la figure 6 represente schematiquement un mode d'implantation 
physique des elements du circuit selon invention ; 

10 - la figure 7 represente le mode d'implantation traditionnel des elements 

d'un circuit a deux processeurs. 

Le circuit integre intelligent objet de ['invention est appele MUMIC (Multi 
Untraceable Microcomputer) et une premiere variante de sa constitution 
iogique va etre explicitee en liaison avec la figure 1 . Cette constitution logique 

15 n'est pas representative de la constitution physique ou de Pimplantation 
topologique, comme on le verra par la suite. Ce circuit integre intelligent est 
constitue d'un processeur principal (1) et d'un processeur secondaire (2), 
chacun des processeurs etant connecte par son bus de communication 
(Adresses, Donnees et commandes) respectif (3,4) a des memoires 

20 respectives (12,13,22) cdntenant le programme principal (P1) et le programme 
secondaire (P2) a executer par chacun des processeurs respectifs principal (1) 
et secondaire (2), et des registres de travail , tels que, par exemple, des 
memoires voiatiles RAM (11,21). Les memoires reliees au processeur 
secondaire sont des memoires " trompe I'oeil " vive (DumRAM 21) et morte 

25 (DumROM 22) qui permettent au processeur secondaire (2) d'executer des 
taches se superposant a celles du processeur principal (1). Le systeme 
d'exploitation du processeur principal est, par exemple, contenu dans une 
partie inaccessible de I'exterieur de la memoire morte (12), mais accessible par 
au moins un des deux processeurs. Chaque processeur (1, 2) possede son 
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propre sequenceur (1 9, respectivement 20). Le circuit integre seion ['invention 
comporte egalement un circuit d'entree sortie (14) relie, d'une part au bus 
unique ou au bus du processeur principal lorsque le circuit est realise selon une 
variante a plusieurs bus et d'autre part, par exemple par des contacts ou un 
5 dispositif de liaison sans contact au monde exterieur pour recevoir les signaux 
d'un terminal. Un ensemble de registres (R1, R2, R3) et un circuit d'interruption 
(15) peuvent etre rajoutes au processeur qui en a besoin pour la mise en 
ceuvre d'une des variantes de fonctionnement correspondent a une variante de 
realisation decrite ci-apres. Les trois elements (R1, R2, R3) sont relies a un 
10 circuit de generation d'interruption (15) lequel est branche sur les entrees 
d'interruption du processeur (en ('occurrence le principal). 

Le systeme d'exploitation du processeur principal (1) est unique dans le 
cas d'une variante processeur principal maTtre processeur secondaire esclave 
et se trouve dispose dans la memoire morte (12) accessible par le processeur 

15 principal. Lorsque cela est necessaire pour les variantes ou les processeurs 
peuvent avoir leurs roles echanges, un deuxieme systeme d'exploitation ou le 
m§me systeme d'exploitation peuvent etre rendus accessible au processeur 
secondaire, par exemple par un echange de jeton de droit d'acces et un 
controle de ce droit d'acces avant que le processeur ne passe la main a Pautre. 

20 De m§me un circuit d'interruption peut §tre rajoute a chaque processeur qui en 
a besoin pour le r6le qu'il doit jouer, en particulier dans le cas de l'6change de 
r6le ou dans la variante de realisation de la figure 2a. 

Le programme principal (P1) est contenu dans la memoire non volatile 
(13) et I'utilisation des memoires trompe-l'oeil correspond a celle decrite dans la 
25 demande de brevet fran?ais publiee sous le numero FR 2 765 361 , en tenant 
compte du fait qu'il peut y avoir simultaneite d'execution entre au moins deux 
processeurs du circuit integre intelligent Dans un tel cas, les deux types de 
memoires (trompe I'oeil et les autres) sont exploitees pendant les memes 
periodes, ceci mdme si le bus est en realite muitiplexe. 
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Le circuit integre cornporte egalement une interface d'entree sortie 
reliee a au moins un bus du circuit integre, cette interface pouvant etre du type 
soit parallele/parallele, soit parallele/ serie. Dans une variante de realisation, la 
memoire vive de travail RAM (11) du processeur principal (1) peut etre 
5 fusionn6e avec la memoire vive trompe-roeil (21 DumRAM) du processeur 
secondare (2) pour former une seule et meme memoire double ports comme 
represents figure 5. Ces memoires double ports, vive (11-21)) utilisent une 
paire de registres d'adresse (110, 210), pour recevoir les signaux d'adresse 
(ADD0, ADD1) et permettre Pacces par le processeur principal (1), 

10 respectivement secondaire (2). Ces memoires double ports, vive (11-21), 
utilisent egalement une premiere paire (111, 211) de registres de donnees pour 
permettre i'acces en lecture de donnee par le processeur principal (1), 
respectivement secondaire (2). Les sorties des registres de donnee de lecture 
sont reltees & des amplificateurs (113, 213) qui d§livrent les signaux de 

15 donnees (DO, D1). Enfin ces memoires double ports, vive (11-21) utilisent 
egalement une seconde paire (112, 212), de registres de donnee pour 
permettre Pacces en Scriture de donnees par le processeur principal (1), 
respectivement secondaire (2). Ce type d'architecture memoire double ports est 
disponible chez des fournisseurs tels que Motorola ou Texas Instrument. Les 

20 m6moires double ports , synchrones ou asynchrones, permettent d'acceder, 
par deux voies distinctes, a une zone d'adresse m6moire, en lecture ou en 
§criture. Dies sont utilisees, en particulier, pour regler des processus de 
synchronisation entre systemes distincts. L'utilisation de la memoire double 
ports pour synchroniser des processus repose sur le fait que les processeurs 

25 peuvent acceder a la memoire par deux voies independantes (adresse et 
donnees) de maniere synchrone ou asynchrone et partager des donnees qui 
peuvent etre utilisees simultanement 

Les deux processeurs (1,2), leur bus (3,4) et leur memoires 
(11,21:12,13,22) sont alimentes par des circuits communs d'alimentation (6) de 
30 fagon a reduire au maximum la distinction entre les appels energetiques de Tun 
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ou Pautre processeur. Avec le progres des technologies du semi-conducteur, il 
est en effet possible aujourd'hui d'adjoindre sur une meme puce deux 
processeurs qui n'occupent que quelques mm2 et done d'obtenir une solution 
economiquement viable, le surcout du deuxierne processeur devenant tres 
5 faible, surtout si on le compare aux surfaces occupees par les memoires vives 
(RAM) et non volatiies programmables (NVM). II est propose d'utiliser des outils 
de placement et de routage qui permettraient de fusionner les processeurs 
dans un seul et unique bloc de conception (design). Habituellement, Phomme 
de metier, s'il a a implanter deux processeurs sur un meme substrat avec des 
10 memoires vives, mortes et non volatiies programmables, va chercher le 
regroupement des fonctions ainsi que le chemin optimum et le respect des 
contraintes de timing. Ceci va Pamener & adopter une architecture et une 
implantation qui sera tres proche de celle representee a la figure 7, dans 
laquelle les deux processeurs (CPU1, CPU2) sont implantes £ proximite Tun de 
15 Pautre, le circuit d'horloge (H) a proximite des processeurs, les circuits 
peripheriques (14) constituant les entrees sorties sont egalement adjacents des 
processeurs, ainsi que ce que Pon appelle en terme de metier la "glue" logique 
G1, qui est un ensemble d'elements logiques necessaires au fonctionnement 
du circuit integre. Les autres elements constituant les memoires vives RAM 
20 (11et 21), morte ROM (12 et 22) et NVM non volatile programmable (13) seront 
disposes tout autoun Une particularity de I'invention reside dans le fait que les 
operateurs logiques, arithmetiques, ainsi que les fonctions de controles seraient 
melanges, au niveau des portes ou cellules elementaires, les uns aux autres 
afin que Pon ne puisse determiner, a priori, Pempiacement physique d'une 
25 cellule appartenant a une fonction. Ainsi chaque processeur serait morcel6 en 
un certain nombre d'6lements representes par des carres ou des rectangles sur 
la figure 6. Ces elements pourront etre implantes au milieu d'autres 
representes, par cercles et constituant les circuits d'horloge ou au milieu des 
elements hexagonaux constituant la "glue" logique ou encore au milieu des 
30 elements de forme trapezoTdale constituant les circuits peripheriques ou enfin 
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au milieu d'une combinaison de ces elements, comme represents figure 6. 
Uimplantation physique des circuits des deux processeurs sera 
avantageusement realisee en utilisant une telle topologie completement 
banalisee sans blocs physiques fonctionnels facilement reperables comme 
5 c'est le cas habituellement. Une telle topologie est utiiisee dans les circuits 
"Gate Arrays" dont chaque cellule de la matrice peut contribuer a la realisation 
de n'importe quelle fonction. De cette maniere, les deux processeurs (1,2) 
peuvent etre physiquement imbriques, maigre une organisation logique 
separee, a tel point que deux transistors adjacents peuvent appartenir soit a 

10 Tun, soit a I'autre des processeurs ou de leurs circuits associes. Ceci est rendu 
possible par le fait que la classe de circuit a laquelle s'adresse ie domaine de la 
carte a microprocesseur n'impose pas des performances 6levees en terme de 
cycle d'horloge. Ce mode d'implantation de$ circuits est done particulierement 
favorable a assurer la securite de I'ensemble. Bien entendu, la realisation de 

is tels circuits necessite un trace automatique assiste par ordinateur pour assurer 
un routage correct des signaux et une mattrise des fonctionnaiites. On congoit 
done que les consommations de chaque bloc fonctionnel sont parfaitement 
imbriquees et se combinent completement 

En outre, les deux processeurs peuvent communiquer, soit par 
20 I'intermediaire d'une liaison specifique, soit par un jeu (50, 51, figure 2a) de 
registres de communication connectes aux bus (3,4), soit encore par vol de 
cycle sur le bus de Tautre processeur, soit encore par une logique d'arbitrage, 
dans le cas d'un bus partage entre les deux processeurs, comme represents 
figure 3. 

25 La figure 2a represente, par exemple, une liaison utilisant deux 

registres (50,51) fonctionnant en mode interruption a Taide des circuits de 
detection (B1,B2), mais on peut aussi utiliser un registre double acces (5) avec 
un protocole voisin de celui utilise dans les cartes a puces, e'est-a-dire dans 
lequel le processeur principal (1) est le maltre. Dans Texemple de realisation 

30 seion la figure 2a, un premier registre (50) assure la liaison entre le bus (3) du 
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processeur principal (1) et celui (4) du processeur secondaire (2), tandis qu'un 
second registre (51) assure la liaison dans Pautre sens. Chacun des premier 
(50), respectivement second (51), registres est muni d'une premiere bascule 
(B1), respectivement seconde bascule (B2), de memorisation qui passe a I'etat 
5 actif lorsqu'une information a ete postee dans le registre correspondent La 
sortie de la premiere bascule (B1) est reliee au systeme d'interruption du 
processeur secondaire (2), tandis que celle de la seconde bascule (B2) est 
reliee au systeme d'interruption du processeur principal (1). La taille des 
registres est suffisante pour contenir les demandes et les reponses de chacun 
10 des processeurs. La figure 2b represente la structure d'une trame avec un en- 
t§te, un champ de donnees et un champ permettant de detecter les erreurs. 
Chaque trame peut constituer soit un bloc d'informations (bloc I), soit un bloc 
d'acquittement (bloc A), chacun de ces blocs pouvant etre transmis dans les 
deux sens. L'en-t£te peut etre constitue de deux octets, le premier donnant le 
is numero du bloc et le deuxieme la longueur. Lorsqu'un bloc est post6 dans le 
premier registre (50), la bascule produit un signal qui est interprets comme une 
interruption IT1 par le processeur secondaire (2), lui permettant ainsi d'etre 
prevenu qu'un message a sa destination est present dans le premier registre 
(50). Le processeur secondaire (2) peut done saisir le bloc en lisant le contenu 
20 du premier registre (50), puis acquitter la reception du bloc par un bloc 
d'acquittement (bloc A) poste dans le second registre (51) a destination du 
processeur principal (1) avec le meme num6ro. Ce precede est connu pour 
permettre notamment le chainage des blocs, bien que ceci ne soit pas 
absolument necessaire dans le cadre de cette invention. Dans chaque bloc 
25 d'informations, le champ d'informations peut etre lui-meme divise en deux 
parties : un champ de commandes et un champ de donnees. Le champ de 
commande permet ainsi au processeur principal d'envoyer des instructions au 
processeur secondaire. Par exemple, on trouvera, sans que la liste soit 
limitative, les commandes suivantes: lecture, 6criture, verification d'une donn6e, 
30 authentification. Lorsqu'une commande est re$ue par le processeur secondaire 
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(2), ce dernier acquitte la reception de cette commande par un bioc 
d'acquittement (bloc A) poste dans le second registre (51) et traite ia 
commande en question avant de poster une reponse dans le second registre 
(51) sous forme d'un bloc deformations (bloc I). La reception de ce bloc sera 
5 acquittee par le processeur principal (1), par un bloc d'acquittement poste dans 
le premier registre (50) et ainsi de suite. La numerotation des blocs permet de 
rep6ter des blocs de donnees mal transmis ou regus. Bien entendu, le 
protocole, pour echanger des informations entre le processeur principal et le 
processeur secondare, peut etre utilise en sens inverse . 

io Les deux programmes (PI, P2) s'executent respectivement dans le 

processeur principal (1) et secondaire (2) de telle sorte que deux instructions 
s'executent simultanement. II est egalement possible de decaler les phases de 
Thorloge pilotant le processeur secondaire (2) de fagon que les cycles 
destructions ne se correspondent pas exactement dans chacun des 

is processeurs. Les decalages peuvent en outre etre rendus variables et 
aieatoires, ce qui se traduira par des superpositions de cycles destructions 
egalement variables. Ces decalages peuvent etre engendres par le sequenceur 
(20) du processeur secondaire (2). 

Une solution avantageuse et economique consiste a utiliser une 
20 memoire "trompe-rceil" vive (DumRAM 21) de tres petite taille pour la memoire 
"trompe-roeil" du processeur secondaire (2). En effet, cette memoire ne jouant 
aucun role reellement fonctionnel, on peut restreindre son espace adressable 
afin qu'elle tienne le minimum de place sur la puce. Get espace peut 
correspondre, par exemple, a simplement ajouter une ou plusieurs lignes de 
25 memoire RAM dans la matrice de la memoire vive ; cet espace ayant ses 
propres registres d*adresse et de donnees. 

On peut laisser fonctionner le processeur secondaire (2) en 
permanence, mais il est preferable de disposer d'un canal de communication 
entre les deux processeurs qui peut dtre avantageusement utilise pour activer 
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le processeur secondaire (2) et/ou pour signaler au processeur principal (1) que 
le processeur secondaire (2) est operationnel et/ou execute reeliennent des 
taches. Les processeurs possedent au moins deux etats : actif ou inactif. Par 
exemple, Petat actif correspond 3 Pexecution d'une suite d'operations diverses 
5 et Petat inactif peut etre realise par une boucle d'attente ne contenant aucune 
operation. Le passage d'un etat a Pautre s'effectue par un mecanisme de 
communication entre les processeurs. Par exemple, le processeur principal 
peut activer un processeur secondaire inactif en envoyant une interruption a 
celui-ci. Dans les variantes de realisation mettant en ceuvre le mecanisme 
10 d'activation les processeurs disposent chacun, soit d'une ligne d'interruption & 
destination d'au moins un autre processeur, soit d'une ligne de reset En effet 
une autre fa9on non preferentielle de realiser le passage de Petat active a Petat 
desactive peut consister a maintenir un signal de reinitialisation (reset) 3 
destination du processeur qui doit etre desactive et a le supprimer lorsque le 
15 processeur passe a P6tat active. Les moyens d'activation sont done les moyens 
qui permettent a un processeur de faire passer Pautre de Petat active a P6tat 
desactiv6 et inversement 

Cect peut se faire soit par un mecanisme d'authentification entre les 
deux processeurs, soit par un mecanisme de test de registre d'activite. Le 
mecanisme d'authentification est declenche a la demande du processeur 
principal (1), ou periodiquement, ou encore al6atoirement. Des que le 
processeur principal (1) detecte une anomalie au cours de Pauthentification, il 
peut stopper tout traitement, ou se mettre dans une boucle d'attente. 

Pour ce faire, on peut utiliser un fonctionnement de ce type en mode 
interruption. Lors de Pinterruption generee, par exemple, par Panomalie 
detectee au niveau du processeur principal (1), un dialogue s'engage entre les 
deux processeurs pour realiser une authentication piiotee par le processeur 
principal (1). Cette authentification consiste, par exemple, a faire chiffrer par le 
processeur principal (1) une donnee sur la base d'une cle stockee dans une 
zone secrfete d'une memoire non volatile programmable (13, NVM) connect6e 
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au bus (3) du processeur principal (1). La donnee chiffree est envoyee au 
processeur secondaire (2) par le canal de communication et ce dernier la 
dechiffre puis renvoie le resultat au processeur principal (1) qui compare le 
resultat du dechiffrement a la donnee. Si le resultat est correct, le processeur 
5 principal (1) peut continuer a travailler, sinon il entre dans une boucle d'attente 
en attendant la prochaine authentication. Ces mecanismes sont connus et ne 
posent pas de probleme particulier a Phomme de Part 

Le processeur principal (1) peut aussi venir tester un registre d'activite 
dans la memoire vive "trompe-l'oeil" (DumRAM, 22) du processeur secondaire 
10 (2) et constater que ce registre est bien modifie a chaque test. Si ce registre 
n'est pas modifie, le processeur principal peut suspendre son activite de fagon 
similaire a la precedente. 

Dans une variante, il est possible d'utiliser pour programme secondaire 
(P2), la copie d'une partie quelconque du programme principal (P1) en pointant 
is au depart sur une adresse au hasard et/ou en operant sur des donn6es 
differentes de celles du programme principal. On aura ainsi Passurance que ce 
programme executera des instructions plausibles mais inutiles au plan 
fonctionnel. 

On peut egalement faire executer au processeur secondaire (2) un 
20 programme correle a celui qui est execute par le processeur principal de fagon 
telle que les resultats intermediaires de traitement n'apparaissent jamais au 
cours de Texecution. Supposons, par exemple, que Ton veuille dissimuler le 
resultat d'une operation F en faisant executer respectivement par chacun des 
processeurs deux fonctions f1 et f2 differentes de F mais choisies de telle sorte 
25 que le resultat de F puisse etre obtenu par une fonction g combiriant ces deux 
fonctions differentes de telle fagon que F = g (f1 f f2). 

Pour eviter Tintroduction d'erreurs dans le code et/ou les donnees de la 
carte et permettre egalement d'effectuer des attaques contre la carte & puce 
(differential fault analysis, DFA) il est propose d'implanter des programmes 
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« intolerants aux fautes ». Cette introduction d'erreurs se fait notamment par 
des modifications instantanees de {'alimentation et/ou de I'horloge (power/clock 
glitch). Dans I'exemple ci-dessous (un programme de communication 
hypothetique), Tattaquant chercherait a modifier le comportement du 
5 branchement conditionnel (Irgne 3) ou du decrement (ligne 6) afin de recevoir 
des donnees au-dela de la zone memoire normalement prevue 
(answer_address + answerjength) : 



1 


b = answer_address 


2 


a = answerjength 


3 


if (a == 0) goto 8 


4 


transmit (*b) 


5 


b = b + 1 


6 


a = a - 1 


7 


goto 3 


8 





Ces programmes « intolerants aux fautes » (c'est-a-dire capables de 
detecter des fautes) pour cartes a puce, ont par definition des t£ches 
redondantes qui sont executees sur les processeurs (CPU) d'une carte 
multiprocesseur. 

20 A certains points de "synchronisation" r6alis6s par un "verrou" materiel 

ou logiciel, tel qu'un compteur physique ou logique decr§mente, ainsi qu'une 
instruction atomique de type transfert ("swap", "read-modify-write", connues par 
Tetat de Tart), Taccord des taches redondantes sur Texecution du programme 
est verifie par le ou les processus principaux. 

25 Un disaccord est considere par le processeur ayant precede & la 

verification comme signe d'une attaque. Uintroduction par un fraudeur 
d'erreurs dans le code de la carte devient alors beaucoup plus complexe du fait 
de ces verifications. Dans I'exempie ci-dessus, I'attaquant devrait parvenir a 
modifier le comportement de deux (ou piusieurs) taches de fagon identique, ce 
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qui parait pratiquement impossible (impracticable). 

En pratique, on cherchera a securiser Pintegrite des donnees "critiques" 
du programme. Pour les variables, cette securisation peut se faire par 
duplication en memoire. Chaque processeur (CPU) possede alors ses propres 
5 copies des variables en question qui sont stockees dans une memoire 
reellement fonctionnelle et non pas de type trompe-Poeil. Dans notre exemple 
hypothetique, le decrement de la variable "a" (compteur de boucle) peut etre 
protegee par la sequence destructions ci-dessous qui est executee par 
chacun des processeurs : 
10 6 a = a - 1 

6' SYNCHRONISATION DES PROCESSEURS 
6" if (a* != a) goto attack 

Ou "a 1 " est une copie de la variable "a" utilisee par le deuxieme 
15 processeur et dans le cas ou "a" est different de "a 1 " le programme se branche 
sur la routine de traitement denommee "attack" qui prend les mesures 
necessaires pour proteger la carte. 

Par exemple, suite a la detection d'une attaque, il y a branchement a 
Petiquette (label) "attack" et la routine de traitement "attack" executera les 
20 operations adequates, telles que la reinitialisation (Reset) des 
microprocesseurs et/ou Peffacement des cl6s en memoire non volatile 
programmable, par exemple du type E 2 PROM. 

On notera qu'il est egalement possible de securiser directement le 
controle de flux, c l est-a-dire le deroulement du programme. La donn6e critique 
25 securisee est alors le compteur ordinal des processeurs (ou une autre 
information liee au compteur ordinal si les processeurs n'executent pas le 
meme code). Apr&s chaque branchement (conditionnel ou inconditionnel) que 
Pon veut securiser, il faut que les taches redondantes comparent Tinformation 
sur la direction que les branchements respectifs ont pris. Dans Pexemple 
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hypothetique donne ci-dessus, le branchement conditionnel en ligne 3 peut 
alors etre securise par echange et comparaison du compteur ordinal ou de 
{'information correspondante en lignes 4 et 8. 

Les operations d'echange et de comparaison peuvent etre realisees, 
5 soit en iogicie! (de fa?on similaire a la sequence destructions 6 - 6" d6crite ci- 
dessus), soit en materiel par un comparateur (8) tel que celui de la figure 4 qui 
est actionne par un signal resultant de Toperation de synchronisation et delivre 
sur son entree de validation (80). Le comparateur (8) regoit egalement sur ses 
autres entrees (81, 82) les signaux representatifs des valeurs des compteurs 
10 ordinaux (PC, PC 1 ) respectifs a chaque processeur principal (1) et secondaire 
(2). 

En cas d'attaque, le comparateur materiel (8) declenchera par le signal 
(attack interrupt) emis sur sa sortie (83), le traitement d'une interruption 
effectuant alors les operations adequates au travers du mecanisme 
is d'rnterruption des microprocesseurs (exemple: Reset interrupt). 

On pourrait etre tente de dire que ces rnecanismes s'apparentent a 
Pex6cution classique de programmes dans un systeme ^ deux processeurs, 
mais les rnecanismes de Tinvention sont tres differents: 

* Les deux processeurs sont alimentes par !es memes circuits, de 
20 fagon a melanger les differentes consommations instantan^es des deux 

processeurs et de leurs circuits assoctes. lis peuvent etre situes sur le meme 
substrat de silicium. 

* Les signatures des instructions utilisees dans le processeur 
secondaire sont de nature a dissimuler Peffet des signatures des instructions 

25 executees dans le processeur principal 

* Le but du programme secondaire est d'executer des fonctions 
differentes du programme principal mais qui occultent celles de ce programme 
principal. On peut ainsi considerer un processus secondaire executant des 
taches sans aucune correlation avec le programme principal, voire m§me 
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incoherentes ou, au contraire, faire realiser des taches paralieies au processus 
principal qui sont correlees a ces dernieres dans le but de les dissimuler. 

* La taille de la memoire vive "trompe-roeil" peut souvent etre 
beaucoup plus petite que celle necessaire au deroulement normal d ! un 

5 programme. 

* Le processeur principal n'execute un programme sensible au sens de 
la securite que si le processeur secondaire est authentifie et/ou s f il est actif. 

* le contenu de la memoire vive "trompe-roeil" n'a pas d'importance 
fonctionnelle car elle ne sert qu'a brouiller les pistes dans la consommation 

10 energetique de Tensemble des memoires. 

* ii n'est pas necessaire de sauver et de restaurer les contextes des 
programmes secondaires 

Dans une autre variante de realisation, le processeur principal (1) active 
un compteur de temps (timer) (R3) initialise soit a Paide du generateur aleatoire 

15 (R1), soit a partir du contenu de la memoire non volatile programmable (13, 
NVM). Cette memoire non volatile programmable (13) peut en effet contenir un 
nombre unique modifie a chaque utilisation. Quand le compteur de temps (R3) 
arrive a echeance au bout d'un temps imprevisible de Texterieur, il declenche 
une authentification du processeur secondaire (2) par le processeur principal 

20 (1). 

Dans une autre variante de realisation le registre (R2) peut, apres avoir 
6te charge par des informations particulieres (par exemple venant d'une 
memoire ou du generateur aleatoire (R1)) ( etre utilise pour declencher une 
interruption. 

25 Dans une autre variante de realisation, un generateur aleatoire (R1) est 

relie au systeme d'interruption (15) du microprocesseur principal (1) de fagon a 
engendrer des interruptions irregulieres et completement desynchronisees par 
rapport a Fexecution des programmes dans le processeur principal (1). Bien 
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entendu, le systeme d'interruption peut etre masquable ou non en fonction du 
traitement consider^ Dans ce cas, si Interruption est masquee, le 
fonctionnement de Pensemble est classique en monoprocesseur, mais des que 
le programme principal (P1) en cours veut se proteger contre d'eventuelles 
observations, il autorise cette interruption qui declenche I'authentification et 
('activation du processeur secondaire (2), 

Dans une autre variante de realisation a bus commun partage entre au 
moins deux processeurs, par exemple n, chaque processeur (1a, 1b,...,1n, 
fig.3) est relie a une logique d'arbitrage centralisee (8) par trois types de lignes, 
un premier requete de bus (31) (Bus Request), un second bus occupe (32) 
(Bus Busy) et un troisfeme scrutation de bus (33) (Bus Polling) du bus 
commun (3) . Les deux premiers types, requete (31) et occupe (32) sont 
constitues respectivement d'une seule ligne commune a tous les processeurs, 
tandis que le dernier type, scrutation (33) est une ligne individuelle 

(33a,33b,...,33n) a chacun des n processeurs (1a, 1b 1n). L'ensemble des 

processeurs se partagent au travers du bus unique (3) la memoires vive (RAM), 
la memoire morte (ROM), la memoire non volatile programmable (NVM) et le 
circuit d'entree sortie (I/O). 

Un processeur (par exemple, 1a) souhaitant acquerir le bus (3) indique 
ce souhait sur la ligne de requSte de bus (31). L/arbitre (8) interroge les autres 
processeurs (1b,..., 1n) d'apres un algorithme bien determine (exemple: 
interrogation cyclique, scrutation de bus) sur les lignes de type scrutation 
(33b,...,33n) correspondant aux processeurs interroges. Le premier processeur 
interroge qui en avait fait la demande acquiert le bus et active la ligne bus 
occupe (32) ( Bus Busy ). L'arbitre (8) ne reprend (Interrogation qu'une fois le 
bus (3) Iib6re par le passage du signal transmis sur la ligne bus occupe (32) de 
Tetat actif a Tetat inactif. On comprend done que, les processeurs sont 
connectes sur un seul et meme bus, dont ils se partagent les accds en 
multiplexant ces acces dans le temps. 
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Bien entendu, il est possible de combiner les effets des modes de 
realisation precedents et il n'est pas necessaire que le brouillage soit realise de 
facon continue. 

Ainsi, lorsque le programme principal (P1) execute des fonctions non 
5 sensibles sur le plan securitaire, le brouillage realise par I'invention peut etre 
rendu intermittent en ayant recours de facon intermittente au fonctionnement 
monoprocesseur, par exemple, pour delivrer des resultats au monde exterieur, 
a des fins de test, ou encore masquer les interruptions du compteur de temps 
(R3) ou du generateur aleatoire. Des qu'une fonction securitaire est mise en 
10 oeuvre, le programme principal (P1) autorise le fonctionnement du processeur 
secondaire (2) afin de "brouiller" le fonctionnement. 

En fait, la securite ne provient plus du fait que le processeur est 
cadence aleatoirement comme dans I'art anterieur, mais se situe au niveau de 
t'execution simultanee de deux programmes (P1.P2) de signatures differentes 
15 par deux processeurs (1 ,2) alimentes par les memes sources d'energie. 

L'organisation des programmes executes par le processeur principal (1) 
peut etre realisee de telle maniere que le fonctionnement du processeur 
principal soit pilote par un veritable systeme d'exploitation securitaire qui decide 
du type de brouillage a mettre en oeuvre en fonction du type de programme 

20 execute par la machine. Dans ce cas, c'est le systeme d'exploitation du 
processeur principal (1) qui gere comme bon lui semble les divers signaux de 
commande du processeur secondaire (2). II est egalement clair que le 
programme secondaire (P2) peut etre utilise pour realiser des fonctions utiles 
au programme principal (P1), notamment des traitements qui peuvent accelerer 

25 le temps de traitement global. Ces traitements peuvent etre constitues , par 
exemple, par des preparations de calculs effectues par le programme 
secondaire mais utilises ulterieurement par le programme principal (P1). Bien 
entendu, on peut facilement generaliser les mecanismes de I'invention lorsque 
le processeur fonctionne en multiprogrammation, les programmes d'application 
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pouvant alors etre consideres comme autant de programmes principaux. 

Le generateur aleatoire et le compteur de temps vus plus haut ne 
posent pas de problemes particuliers de realisation et sont connus de I'homme 
de Tart lorsqu'ils sont utilises separement pour d'autres usages n'ayant aucun 
5 lien avec ('invention. 

Dans une autre variante il est possible de realiser flnvention de telle 
sorte que les deux processeurs puissent alternativement jouer le role de 
processeur principal et de processeur secondaire. Cela suppose qu'un jeton de 
priorite soit echange entre les deux processeurs pour conferer a celui des deux 
10 qui le d6tient le role de maitre a un instant donne. 

D'autres modifications font egalement partie de Tesprit de invention. 
Les variantes decrites avec un mode de realisation limite a deux processeurs 
peuvent egalement s'appliquer a des modes de realisation a plusieurs 
processeurs et font partie de Pinvention. Ainsi, a tout moment dans la 
15 description le terme m6moire morte doit etre compris comme etant une ROM 
mais peut dtre remplace par une PROM, EPROM, EEPROM ou encore tout 
autre type de memoire non volatile programmable, morte ou vive. 



BNSDOCID: <WO 0039660A1 1 > 



WO 00/39660 



24 



PCT/FR99/03275 



REVENDICATIONS 



1. Circuit integre intelligent, caracterise en ce qu'il possede un 
processeur principal (1) et un systeme Sexploitation executant un programme 
5 principal (P1) pour constituer un processus principal realisant des taches, au 
moins un processeur secondaire (2) capable d'executer concurremment au 
moins un programme secondaire (P2) pour constituer au moins un processus 
realisant des taches, des circuits d'alimentation (6) communs entre les 
processeurs et des moyens permettant de s'assurer que le ou les processus 
10 secondaires d'energie similaire et de signature de fonctionnement differente, 
s'effectuent concurremment avec ie processus principal en induisant dans les 
circuits d'alimentation, de fa?on continue ou intermittente, des perturbations 
energetiques qui se superposent a celles du processus principal pour realiser 
un brouillage continu ou intermittent. 

15 2. Circuit integre intelligent selon la revendication 1, caracterise en ce 

que les processeurs principaux ou secondaires sont chacun un 
microprocesseur ou microcalculateur securise. 

3. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que I'activation de ces moyens est decienchee par le systeme d'exploitation du 

20 processeur principal (1) du circuit integre intelligent, de telle sorte que la 
securite supplemental creee par les moyens ci-dessus ne depend que d'une 
decision resultant de Pexecution par le processeur principal du systeme 
d'exploitation situe dans un endroit du circuit integre inaccessible de Texterieur. 

4. Circuit integre intelligent selon la revendication 1, caracterise en ce 
25 qu'il possede une memoire principale (12, 13), dediee au processeur principal 

(1), contenant le systeme d'exploitation dans au moins une partie de celle-ci 
inaccessible de Texterieur et accessible par au moins un des deux processeurs 
(1, 2) et une memoire secondaire (21,22) respectivement dediee au processeur 
secondaire (2). 
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5. Circuit integre intelligent selon la revendication 1, caracterise en ce 
qu'ii poss^de au moins un bus (3,4) de communication entre les processeurs, 
leurs memoires respectives et un circuit d'entree sortie 

6. Circuit integre intelligent selon la revendication 1, caracterise en ce 
5 qu'il est realise a Paide de circuits logiques disperses sur le ou les substrats de 

fa$on que Timplantation physique des deux processeurs soit realisee sans 
blocs fonctionnels facilement reperables, par exemple par imbrication physique 
mais avec une organisation logique separee. 

7. Circuit integr6 intelligent selon la revendication 1, caracterise en ce 
io que le processeur secondaire (2) execute des taches du processus secondaire 

qui minimisent ou annulent les signatures de fonctionnement du processeur 
principal (1). 

8. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le processeur secondaire (2) execute des taches du processus secondaire 

15 correl6es a celles du processus principal execute par le processeur principal (1) 
de fa$on telle que les resultats intermediates de traitement n'apparaissent 
jamais au cours du processus. 

9. Circuit integre intelligent selon la revendication 1 , caracterise en ce 
que le programme secondaire (P2) utilise un espace de travail plus petit que 

20 celui du programme principal (P1). 

10. Circuit integre intelligent selon la revendication 1, caracterise en ce 
qu'il possede des moyens de communication entre le processeur principal (1) et 
le processeur secondaire (2). 

11. Circuit integre intelligent selon la revendication 1, caracterise en ce 
25 que les moyens de communication (50, 51, B1, B2) entre les deux processeurs 

permettent au processeur principal (1) de savoir si le processeur secondaire (2) 
est operationnel ou non. 

12. Circuit integre intelligent selon la revendication 1 f caracterise en ce 
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que les moyens de communication entre les deux processeurs permettent au 
processeur principal (1) de realiser une authentication du processeur 
secondaire (2) 

13. Circuit integre intelligent selon la revendication 1, caracterise en ce 
5 que le test d'authentification ou de fonctionnement du processeur secondaire 

(2) est realise en cours de traitement par le processeur principal (1). 

14. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le moyen d'activation du processeur secondaire (2) est commande soit par 
le processeur principal (1) et son programme principal (P1), soit par un systeme 

10 d'interruption (15), soit par un compteur de temps (R3), soit encore par une 
combinaison des trois 

15. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le processeur secondaire (2) execute des taches du processus secondaire 
sans correlation avec celles du processus principal executees par le 

15 processeur principal (1). 

16. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le processeur secondaire (2) execute des taches du processus secondaire 
qui minimisent ou annulent les signatures de fonctionnement du processeur 
principal (1). 

20 17. Circuit integre intelligent selon la revendication 1, caracterise en ce 

que le programme secondaire (P2) met en oeuvre un processus correle au 
processus principal, de telle fagon que la combinaison des deux processus 
fournisse une signature de fonctionnement du processeur secondaire (2) qui 
dissimule celle du processeur principal (1). 

25 18. Circuit integre intelligent selon la revendication 1, caracterise en ce 

que le processeur secondaire (2) execute des taches correlees a celles du 
processeur principal (1) de fagon telle que les r6sultats intermediates de 
traitement n'apparaissent jamais au cours du processus. 
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19. Circuit integre intelligent selon la revendication 1, caracterise en ce 
que le processeur secondaire (2) peut se substituer au processeur principal (1) 
et reciproquement 

20. Circuit integre intelligent selon la revendication 1, caracterise en ce 
5 que le processeur secondaire (2) execute des taches correlees a celles du 

processeur principal (1) par synchronisation des processus et comparaison de 
valeurs de deux donnees provenant chacune du processeur respectif executant 
son programme respectif. 

21. Circuit integre intelligent selon la revendication 1, caracteris6 en ce 
io que le processeur secondaire (2) execute des taches correlees a celles du 

processeur principal (1) par deduction logique du programme secondaire (P2) £ 
partirdu programme.principal (P1). 

22. Circuit integre intelligent selon la revendication 1 , caracterise en ce 
qu'il comporte au moins deux processeurs et chacun des processeurs (1, 2) 

15 poss6de un bus respectif (3, 4) auxqueis sont reliees les m6moires vives, 
mortes pour chaque processeur et non volatile pour le processeur principal. 

23 Circuit integre intelligent selon la revendication 1, caracterise en ce 
qu'il comporte une pluralite de processeurs dont chacun est relie a un seul et 
mdme bus de communication multipiexe entre les processeurs et un ensemble 
20 de memoire vive, morte et non volatile relie & ce bus, les conflits d'accds £t ce 
bus commun etant geres par un circuit ^arbitrage (8). 

24. Circuit int6gre intelligent selon la revendication 1 , caracterise en ce 
que le processeur secondaire (2) execute successivement et dans n'importe 
quel ordre, soit des programmes correles, soit des programmes sans 
25 correlation avec ceux executes par le processeur principal (1). 
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